Ich versuche, die Yubikey-Authentifizierung über SSH zu implementieren. Ich habe meine Datei /etc/pam.d/sshd wie folgt bearbeitet und es scheint zu funktionierenwährend der lokalen Verbindung( ssh user@localhost):
#%PAM-1.0
auth required pam_yubico.so id=20682 authfile=/etc/yubikey_mappings debug trace
auth required pam_sepermit.so
auth substack password-auth
auth include postlogin
account required pam_nologin.so
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session optional pam_keyinit.so force revoke
session include password-auth
session include postlogin
Wenn ich jedoch versuche, von einem Remote-Computer aus eine Verbindung herzustellen, werde ich nicht nach meinem Schlüssel gefragt. Was ist wahrscheinlich das Problem?
Antwort1
authDie allgemeine Logik besteht darin, dass ein PAM-fähiges Programm, das Shell-Anmeldungen verarbeitet, die Stapel , account, und nacheinander aufruft session, ein Programm diese jedoch einfach überspringen kann, wenn es eine oder mehrere dieser Funktionen mit seinen eigenen Implementierungen verarbeitet.
sshdunterstützt einige Authentifizierungsmodi, die nicht an PAM delegiert werden können, da sie auf Methoden beruhen, die nicht in den Bereich der Passwort- oder Challenge-Response-Aushandlung fallen. Diese basieren normalerweise auf Schlüsseln oder Tickets: SSH-Schlüssel, GSSAPI/krb5 usw.